CVE-2024-4577 PHP ثغرة أمنية تم استغلالها بواسطة TellYouThePass Ransomware Group

أصبحت الثغرة الأمنية التي تم تحديدها مؤخرًا في PHP، والتي تم تحديدها باسم CVE-2024-4577، هدفًا للاستغلال من قبل مجموعة برامج الفدية بعد وقت قصير من الكشف عنها. تسلط شركة الأمن السيبراني Imperva الضوء على اتجاه الاستغلال، وكشفت أن الثغرة الأمنية تؤثر على خوادم Windows التي تستخدم تكوينات Apache و PHP-CGI.

بشكل أساسي، يسمح الخلل للمهاجمين بإدخال الوسائط وتنفيذ تعليمات برمجية عشوائية عند تمكين صفحات تعليمات برمجية معينة، وذلك بسبب إشراف PHP على سلوك Windows "الأفضل ملاءمة". تسمح هذه الثغرة بتفسير تسلسلات أحرف معينة بشكل خاطئ على أنها خيارات PHP، مما قد يؤدي إلى تنفيذ تعليمات برمجية غير مصرح بها.

يمتد تأثير CVE-2024-4577 عبر إصدارات PHP المختلفة على أنظمة Windows، بما في ذلك الإصدارات الأقدم مثل 8.0 و7 و5، مما دفع PHP إلى اتخاذ إجراء سريع مع إصدار الإصدارات المصححة 8.1.29 و8.2.20 و8.3. 8. ومع ذلك، في غضون أيام من الكشف عن PHP وإصدار التصحيح، بدأت مجموعة برامج الفدية TellYouThePass في استغلال الخوادم الضعيفة، كما لاحظت Imperva. وكانت الهجمات متعددة الأوجه، وشملت محاولات تحميل WebShells ونشر برامج الفدية على الأنظمة المستهدفة.

في هذه الهجمات، نفذت جهات التهديد تعليمات برمجية PHP عشوائية على الأجهزة المخترقة، مستفيدة من وظيفة "النظام" لبدء تنفيذ ملفات تطبيق HTML من خوادم بعيدة. برنامج الفدية الذي نشرته مجموعة TellYouThePass هو برنامج .NET قابل للتنفيذ، ويتم تحميله مباشرة في الذاكرة عند التنفيذ. عند إنشاء اتصال مع خادم الأوامر والتحكم الخاص به، تستمر البرامج الضارة في تعداد الدلائل، وإيقاف العمليات الجارية، وإنشاء مفاتيح التشفير، وتشفير الملفات بامتدادات محددة.

تمتلك مجموعة TellYouThePass Ransomware، النشطة منذ عام 2019، تاريخًا في استهداف الشركات والأفراد على حدٍ سواء. تتضمن عمليات الاستغلال السابقة الاستفادة من الثغرات الأمنية في Apache Log4j (CVE-2021-44228) وActiveMQ (CVE-2023-46604) لارتكاب الهجمات. ومع استغلال CVE-2024-4577، أضافوا أداة أخرى إلى ترسانتهم، مما يؤكد التحديات المستمرة التي تطرحها نقاط الضعف في أنظمة البرمجيات المستخدمة على نطاق واسع.